Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Actualización de correcciones de errores y seguridad de Thorntail 2.4.0 de Red Hat OpenShift Application

  • Publicado: 25/04/2019
  • Importancia: Alta
Recursos afectados

Múltiples vulnerabilidades en Thorntail 2.4.0, las cuales permitirían la ejecución de código malicioso.

Thorntail 2.4.0 es framework un que permite crear microservicios que se ejecutan en un servidor lo suficientemente potente para soportar el subconjunto exacto de APIs que necesite.

Inyección de cabezales HTTP utilizando CRLF con codificación UTF-8 (corrección incompleta de CVE-2016-4993) (CVE-2018-1067)

CVE-2018-10894: auth permitido con certificados vencidos en cliente SAML

CVE-2018-1114: La fuga del descriptor de archivos causada por JarURLConnection.getLastModified permite al atacante causar una denegación de servicio

CVE-2018-10912: reemplazo de bucle infinito en sesión que lleva a la denegación de servicio

CVE-2018-10862: La travesía de la ruta puede permitir la extracción de archivos.war para escribir archivos arbitrarios (Zip Slip)

CVE-2018-14718: ejecución arbitraria de código en la clase slf4j-ext

CVE-2018-14719: ejecución arbitraria de código en clases blaze-ds-opt y blaze-ds-core

CVE-2018-19360: deserialización (Es un estándar que define la sintaxis y la semántica de las funciones contenidas en una biblioteca de paso de mensajes diseñada para ser usada en programas que exploten la existencia de múltiples procesadores) polimórfica impropia en la clase axis2-transport-jms

CVE-2018-19361: deserialización polimórfica impropia en clase openjpa

CVE-2018-19362: deserialización polimórfica impropia en la clase jboss-common-core

CVE-2018-12023: deserialización polimórfica inadecuada de tipos desde el controlador JDBC de Oracle

CVE-2018-12022: deserialización polimórfica impropia de tipos de la librería Jodd-db

CVE-2018-11307: Exfiltración de información potencial con escritura por defecto, gadget de serialización de MyBatis

CVE-2018-1000180): fallo en la interfaz de bajo nivel del generador de pares de llaves RSA

Etiquetas